Já ouviu algo parecido com isto: “Não basta trancar a porta se você esquecer ou não se preocupar com a janela aberta ?
Esse alerta também serve para segurança da informação, que deve ser feita em camadas. Infelizmente, muitos aspectos são deixados de lado por falta de conhecimento ou negligência.
Ações para manter seu ambiente mais seguro vão muito além de apenas implementar ferramentas para segurança de perímetro.
Uma vez que você começa a pensar em cultura da segurança da informação, entenda que todas as ações deverão considerar o aspecto de segurança – desde o desenvolvimento de uma nova aplicação até a migração para nuvem.
Neste artigo, vou exemplificar situações que exigem desde uma simples mudança de processo até a compra de ferramentas especificas. Não serão citados os fabricantes, mas apenas os tipos de ferramentas que irão lhe ajudar a aperfeiçoar a segurança da informação em sua organização.
1- Usuários e senhas locais iguais em todos desktops e/ou servidores
Suponhamos que um indivíduo malicioso (seja ele um funcionário ou não) consiga acesso à senha do usuário administrador de um dos seus desktops ou servidores.
Uma coisa é o indivíduo ser administrador apenas de um dispositivo, mas imagine que após conseguir apenas uma senha ele passe a ter poderes administrativos em todos seus desktops ou servidores. Sim, toda a segurança da informação estaria comprometida.
A solução para esse problema? Procure por ferramentas do tipo PAM (Privileged Access Management).
2- Processo de desligamento ou remanejamento de pessoas entre áreas
Já enfrentou casos onde, mesmo após o desligamento, um ex-funcionário continuou com acesso ao e-mail corporativo ou VPN? Você tem mapeado todos os aplicativos dentro e fora de seu ambiente em que este usuário tem acesso?
Quando um usuário é remanejado ele normalmente recebe novos acessos. Mantê-lo associado aos antigos grupos que ele pertencia é desnecessário e compromete a segurança da informação em todo seu ambiente.
Tente unificar seu método de autenticação (Single Sign On por ex.), caso suas ferramentas exijam que um usuário tenha vários logins e senhas, seu processo de mapeamento será muito mais difícil – e vale lembrar que muitas ferramentas possuem integração com o Active Directory ou ADFS.
Confira um exemplo de checklist para o processo de desligamento de pessoas:
- Desativar a conta do usuário;
- Redefinir a senha do usuário;
- Remover o usuário dos grupos em que ele está associado.
Quanto ao processo de transferência entre áreas, é muito comum que você não consiga remover o usuário imediatamente dos antigos grupos que ele pertencia, pois pode existir um período que ele coexistirá entre as áreas, sendo necessário deixá-lo.
Caso isso aconteça, determine um prazo para que a remoção aconteça e, após esse período determinado, confirme com o responsável e/ou desative os acessos.
Lembre:se: os usuários não devem ter mais acessos do que o necessário para o bom desenvolvimento de seu trabalho!
Aqui, soluções de IAM (Identity and Access Management) podem lhe ajudar.
3 – Política de segurança da informação
Esse item é um dos mais importantes, pois a política de segurança da informação pode abranger quase todos os pontos citados neste artigo.
Qual a política para os dispositivos BYOD (Bring Your Own Device)? Como você determina que uma pasta do servidor de arquivos ou uma categoria na web deve ser liberada? Qual a periodicidade de atualização de seus sistemas?
Não deixe que o processo de liberação de acesso seja feito informalmente. Muitas vezes a liberação ocorre porque um “chegado” pediu ou, então, só é liberado porque o dono da informação está de bom humor ou devendo um favor.
Esse não é o melhor caminho, por isso confira as dicas a seguir. Elas irão ajudar!
- Nomeie os donos dos recursos;
- Crie um comitê em que uma ação deve ser aprovada por duas pessoas de áreas diferentes;
- Estabeleça um processo para tratar as exceções.
A criação de uma política de segurança da informação pode ser um trabalho árduo e, muitas vezes, é necessário que pessoas de diferentes áreas sejam envolvidas.
Comece aos poucos, crie algo que realmente atenda suas necessidades, considere que a intenção é ter controle e padrão sobre as ações.
Gostou do assunto? Procure saber mais sobre a ISO 27001.
4- Testes de restauração de backup
Tente fazer com que o usuário seja um aliado para manter seus backups íntegros – ação essencial para manter a segurança da informação.
Digamos que Maria (Analista de RH) peça ao João (Analista de TI) a restauração de um determinado arquivo. Após verificar, João percebe que o backup já não está sendo realizado corretamente a meses. Como consequência, João foi demitido.
O problema foi resolvido? E quanto ao arquivo que Maria precisa? Como dona da informação, é de grande interesse que a informação seja restaurada.
Para garantir a segurança da informação, crie um processo com uma determinada periodicidade em que você (administrador das rotinas de backup) solicite ao usuário (dono da informação) a restauração de um arquivo aleatório.
Isto comprovará que o processo de backup está integro e que o usuário terá sua informação quando necessário – veja a qual realidade isso se aplica, como por exemplo a restauração de um documento no servidor de arquivos.
5- Controle de acesso a rede
Qualquer dispositivo mesmo que não seja corporativo, tem acesso a sua infraestrutura sem que nenhuma validação seja feita? Seu método de controle ao acesso no ambiente wireless é apenas baseado em whitelist de endereços MAC?
Qual tipo de visibilidade você tem sobre seu ambiente? Sua ferramenta de inventário trabalha em tempo real?
Essas respostas são essenciais para garantir a segurança da informação em seu ambiente, afinal, você não consegue se proteger daquilo que desconhece!
Procure por ferramentas de NAC (Network Access Control), mas não procure por NACs tradicionais. Sua busca deve ser por ferramentas que realmente lhe entreguem visibilidade e controle do seu ambiente.
6- Ferramentas contra ameaças desconhecidas
Grande parte das ameaças atuais não são mais combatidas somente com assinaturas. Seu Firewall ou suas ferramentas de endpoint lhe protegem analisando o comportamento da ameaça?
O ideal é procurar por:
- NGFW (Next Generation Firewall)
- ATP (Advanced Threat Prevention)
- NGAVR (Next generation Anti-virus)
- MTD (Mobile Threat Defense)
- EDR (Endpoint Detection & Response)
7- Ferramenta de inventário
Seus usuários possuem ferramentas de Keyloger instaladas?
Em uma situação de auditoria, como você comprova que todos seus agentes (DLP, Antivírus) estão instalados e atualizados em todas suas máquinas?
Quais os riscos de manter versões de softwares antigos em seu ambiente?
Nessas situações, vale a pena buscar por:
- CMDB (Configuration Management Database)
- CMT (Client Management Tools)
- UEM (Endpoint Enterprise Management)
8- Visualização em tempo real de ameaças
Seu sistema de monitoramento se limita a dizer apenas se o servidor está com alta utilização de CPU, MEM ou com baixo espaço em disco?
É claro que essas informações são importantes, mas qual é a causa raiz? Você está sendo atacado?
Caso você opte por analisar os logs manualmente, pode ser que esse tempo custe caro e você já esteja sofrendo uma contaminação lateral, colocando em xeque a segurança da informação.
Ferramentas de SIEM (Security information and event management) podem lhe ajudar.
9- Proteção contra vazamento de dados corporativos
Conhecido como o novo petróleo, os dados muitas vezes são o bem mais valioso de uma empresa, necessitando de proteção à altura de sua importância.
Deixar que os usuários copiem os dados corporativos sem nenhum tipo de controle não parece uma boa ideia.
A segurança da informação aqui podem ser ferramentas de DLP (Data Lost Prevention).
10- Treinamento aos usuários
Muito negligenciado, o treinamento pode ser uma das mais eficazes medidas de segurança da informação a serem implementadas. Se o usuário estiver treinado e não clicar no link malicioso, não será necessário que sua ferramenta de milhões entre em ação.
Crie campanhas focadas de phishing e teste seus usuários – já existem várias empresas no mercado que oferecem o serviço. Treinamentos não devem ser vistos como custo, mas sim como investimento.
Já ouviu falar no ditado “Deus protege as criancinhas, os bêbados e os analistas de TI”? Até quando é possível contar com a sorte?
Jogar toda culpa na falta de investimento não irá lhe ajudar após uma invasão ou vazamento de dados.
Adotando novos processos, mantendo-se atualizado e tendo consciência das novas ameaças permitirá aperfeiçoar de forma significativa a segurança da informação em sua empresa.
É papel dos responsáveis por TI mostrar os riscos que o negócio está exposto, caso identifique que um processo está sendo executado de maneira incorreta ou se alguma parte da infraestrutura corre risco por não possuir ferramentas adequadas para protegê-la.
Existem basicamente duas formas para que um investimento aconteça: pelo amor ou pela dor – e isso não está limitado a gastos com segurança,
Uma forte característica do mercado brasileiro, em geral, é agir de forma reativa – como se somente um evento negativo justificasse o investimento em segurança da informação.
No final, o que determinará quais medidas ou ferramentas serão implantadas, são as necessidades do negócio. Costumo dizer que não existe certo ou errado, desde que suas escolhas não deixem seu ambiente desprotegido ou com a continuidade ameaçada.
E, então, gostou das dicas para proteção do ambiente de sua organização? Se você seja saber mais sobre segurança da informação, fale com os especialistas da Compugraf e leia outros conteúdos sobre o assunto em nosso Blog.
Artigo escrito por Ricardo Martins, Product Analyst da Compugraf.
